[发明专利]一种宏病毒处理方法、装置和存储介质

说明书

本发明实施例公开了一种宏病毒处理方法、装置和存储介质；本发明实施例在获取待处理宏病毒，对所述待处理宏病毒中的宏代码进行识别，根据识别结果确定所述宏代码中的特征码，根据所述宏代码中的特征码生成宏病毒特征，基于所述宏病毒特征生成宏病毒特征库，对所述待处理宏病毒进行查杀。由于该方案在宏病毒收集、分类、提取特征码和生成通杀特征等方面都采用了自动化方法，提高了宏病毒的处理效率。

技术领域

本发明涉及通信技术领域，具体涉及一种宏病毒处理方法、装置和存储介质。

背景技术

随着计算机的普及和移动互联网的发展，网络信息时代已经来临。病毒作为信息的一种形式，具有繁殖、感染、破坏等特性，威胁着用户的信息安全。计算机文档，即WORD，EXCEL等文字编辑软件产生的文件，被人们广泛使用，而宏病毒作为专用于破坏计算机文档信息安全的新型病毒，逐渐走进人们的视线。其中，使用宏语言编写的宏病毒主要作用于计算机文档的宏代码中，威胁着计算机文档的安全。现有技术主要通过人工分析所收集到的宏病毒样本，得到宏病毒样本的特征码，进而生成病毒库，完成宏病毒的查杀。

在对现有技术的研究和实践过程中，本发明的发明人发现，对宏病毒样本采用人工分析的过程，对宏病毒人工添加特征码的时候，依赖人工经验，导致宏病毒处理效率低。

发明内容

本发明实施例提供一种宏病毒处理方法、装置和存储介质，可以提高宏病毒的处理效率。

一种宏病毒处理方法，包括：

获取待处理宏病毒；

对所述待处理宏病毒中的宏代码进行识别；

根据识别结果确定所述宏代码中的特征码；

根据所述宏代码中的特征码生成宏病毒特征；

基于所述宏病毒特征生成宏病毒特征库，对所述待处理宏病毒进行查杀。

相应的，本发明实施例提供一种宏病毒处理装置，包括：

获取单元，用于获取待处理宏病毒；

识别单元，用于对所述待处理宏病毒中的宏代码进行识别；

确定单元，用于根据识别结果确定所述宏代码中的特征码；

生成单元，用于根据所述宏代码中的特征码生成宏病毒特征；

查杀单元，用户基于所述宏病毒特征生成宏病毒特征库，对所述待处理宏病毒进行查杀。

可选的，在一些实施例中，所述识别单元，具体用于对所述宏代码按预设策略进行计算；当所述计算结果超过预设阈值时，确定所述宏代码为第一代码；当所述计算结果未超过预设阈值时，确定所述宏代码为第二代码。

可选的，在一些实施例中，所述识别单元，具体用于计算所述宏代码中垃圾代码占比，得到第一占比值；计算所述宏代码中复杂型变量名占比，得到第二占比值；计算所述宏代码中字符串与数字串的混合运算比，得到第三占比值，获取所述第一占比值对应的预设第一阈值、所述第二占比值对应预设第二阈值和所述第三占比值对应预设第三阈值；分别将所述第一占比值与预设第一阈值、所述第二占比值与预设第二阈值和所述第三占比值与预设第三阈值进行对比，当所述第一占比值、所述第二占比值和所述第三占比值中至少存在一个占比值高于对应的预设阈值时，则所述宏代码为第一代码；当所述第一占比值、所述第二占比值和所述第三占比值都未超过对应的预设阈值时，则所述宏代码为第二代码。

可选的，在一些实施例中，所述确定单元，具体可用于当所述宏代码为第一代码时，在所述宏代码中提取混淆串，基于所述混淆串，生成第一特征码；当所述宏代码为第二代码时，对所述宏代码进行聚类，在聚类得到的各个类别的宏代码中提取恶意黑串，基于所述恶意黑串，生成第二特征码。